物理安全管理課件

1、物理安全管理1使用說明2文本 / 背景填充超鏈接淺 / 深色一級(jí)填充未訪問二級(jí)填充三級(jí)填充已訪問描邊一般文本樣式一般文本樣式一般文本樣式一般文本樣式文本樣式注釋文字樣式配色方案文本 / 填充樣式數(shù)據(jù)圖表超鏈接31物理安全邊界，物理進(jìn)入控制，辦公室,房間及設(shè)施的安全2防范外部和環(huán)境威脅，在安全區(qū)域工作，送貨和裝卸區(qū)3設(shè)備安置和保護(hù)，支持設(shè)施，電纜安全，設(shè)備維護(hù)，資產(chǎn)轉(zhuǎn)移 4場外設(shè)備和資產(chǎn)安全，設(shè)備報(bào)廢或重用，無人值守的設(shè)備，清除桌面及屏幕策略目錄物理安全邊界，物理進(jìn)入控制，辦公室,房間及設(shè)施的安全物理安全邊界控制措施控制措施應(yīng)使用安全邊界（諸如墻、卡控制的入口或有人管理的接待臺(tái)等屏障）來保護(hù)包含

2、信息和信息處理設(shè)施的區(qū)域。對(duì)于物理安全邊界，若合適，下列指南應(yīng)予以考慮實(shí)施：安全邊界應(yīng)清晰地予以定義，各個(gè)邊界的設(shè)置地點(diǎn)和強(qiáng)度取決于邊界內(nèi)資產(chǎn)的安全要求和風(fēng)險(xiǎn)評(píng)估的結(jié)果；包含信息處理設(shè)施的建筑物或場地的邊界應(yīng)在物理上是安全的（即，在邊界或區(qū)域內(nèi)不應(yīng)存在可能易于闖入的任何缺口）；場所的外墻應(yīng)是堅(jiān)固結(jié)構(gòu)，所有外部的門要使用控制機(jī)制來適當(dāng)保護(hù)，以防止未授權(quán)進(jìn)入，例，門閂、報(bào)警器、鎖等；無人看管的門和窗戶應(yīng)上鎖，還要考慮窗戶的外部保護(hù)，尤其是地面一層的窗戶；對(duì)場所或建筑物的物理訪問手段要到位（如有人管理的接待區(qū)域或其他控制）；進(jìn)入場所或建筑物應(yīng)僅限于已授權(quán)人員；4物理安全邊界，物理進(jìn)入控制，辦公室,房

3、間及設(shè)施的安全如果可行，應(yīng)建立物理屏障以防止未授權(quán)進(jìn)入和環(huán)境污染；安全邊界的所有防火門應(yīng)可發(fā)出報(bào)警信號(hào)、被監(jiān)視并經(jīng)過檢驗(yàn)，和墻一起按照合適的地方、國內(nèi)和國際標(biāo)準(zhǔn)建立所需的防衛(wèi)級(jí)別；他們應(yīng)使用故障保護(hù)方式按照當(dāng)?shù)胤阑鹨?guī)則來運(yùn)行。應(yīng)按照地方、國內(nèi)和國際標(biāo)準(zhǔn)建立適當(dāng)?shù)娜肭謾z測系統(tǒng)，并定期檢測以覆蓋所有的外部門窗；要一直警惕空閑區(qū)域；其他區(qū)域要提供掩護(hù)方法，例如計(jì)算機(jī)室或通信室；組織管理的信息處理設(shè)施應(yīng)在物理上與第三方管理的設(shè)施分開。5物理安全邊界，物理進(jìn)入控制，辦公室,房間及設(shè)施的安全物理進(jìn)入控制控制措施安全區(qū)域應(yīng)由適合的入口控制所保護(hù)，以確保只有授權(quán)的人員才允許訪問。實(shí)施指南下列指南應(yīng)予以考慮：記

4、錄訪問者進(jìn)入和離開的日期和時(shí)間，所有的訪問者要予以監(jiān)督，除非他們的訪問事前已經(jīng)經(jīng)過批準(zhǔn)；只能允許他們訪問特定的、已授權(quán)的目標(biāo)，并要向他們宣布關(guān)于該區(qū)域的安全要求和應(yīng)急程序的說明。訪問處理敏感信息或儲(chǔ)存敏感信息的區(qū)域要受到控制，并且僅限于已授權(quán)的人員；認(rèn)證控制（例如，訪問控制卡加個(gè)人識(shí)別號(hào)）應(yīng)用于授權(quán)和確認(rèn)所有訪問；所有訪問的審核蹤跡要安全地加以維護(hù)。6物理安全邊界，物理進(jìn)入控制，辦公室,房間及設(shè)施的安全所有雇員、承包方人員和第三方人員以及所有訪問者要佩帶某種形式的可視標(biāo)識(shí)，如果遇到無人護(hù)送的訪問者和未佩帶可視標(biāo)識(shí)的任何人應(yīng)立即通知保安人員。第三方支持服務(wù)人員只有在需要時(shí)才能有限制的訪問安全區(qū)域

5、或敏感信息處理設(shè)施；這種訪問應(yīng)被授權(quán)并受監(jiān)視；對(duì)安全區(qū)域的訪問權(quán)要定期地予以評(píng)審和更新，并在需要時(shí)廢除。7物理安全邊界，物理進(jìn)入控制，辦公室,房間及設(shè)施的安全辦公室,房間及設(shè)施的安全控制措施應(yīng)為辦公室、房間和設(shè)施設(shè)計(jì)并采取物理安全措施。實(shí)施指南應(yīng)考慮下列指南以保護(hù)辦公室、房間和設(shè)施：相關(guān)的健康和安全法規(guī)、標(biāo)準(zhǔn)要考慮在內(nèi)；關(guān)鍵設(shè)施應(yīng)坐落在可避免公眾進(jìn)行訪問的場地；如果可行，建筑物要不引人注目，并且在建筑物內(nèi)側(cè)或外側(cè)用不明顯的標(biāo)記給出其用途的最少指示，以標(biāo)識(shí)信息處理活動(dòng)的存在；標(biāo)識(shí)敏感信息處理設(shè)施位置的目錄和內(nèi)部電話簿不要輕易被公眾得到。8防范外部和環(huán)境威脅，在安全區(qū)域工作，送貨和裝卸區(qū)防范外部和

6、環(huán)境威脅控制措施為防止火災(zāi)、洪水、地震、爆炸、社會(huì)動(dòng)蕩和其他形式的自然或人為災(zāi)難引起的破壞，應(yīng)設(shè)計(jì)和采取物理保護(hù)措施。實(shí)施指南要考慮任何鄰近區(qū)域所帶來的安全威脅，例如，鄰近建筑物的火災(zāi)、屋頂漏水或地下室地板滲水或者街上爆炸。要避免火災(zāi)、洪水、地震、爆炸、社會(huì)動(dòng)蕩和其他形式的自然災(zāi)難或人為災(zāi)難的破壞，應(yīng)考慮以下因素：危險(xiǎn)或易燃材料應(yīng)在離安全區(qū)域安全距離以外的地方存放。大批供應(yīng)品（例如文具）不應(yīng)存放于安全區(qū)域內(nèi)；備份設(shè)備和備份介質(zhì)的存放地點(diǎn)應(yīng)與主要場所有一段安全的距離，以避免影響主要場所的災(zāi)難產(chǎn)生的破壞；應(yīng)提供適當(dāng)?shù)臏缁鹪O(shè)備，并應(yīng)放在合適的地點(diǎn)。9防范外部和環(huán)境威脅，在安全區(qū)域工作，送貨和裝卸區(qū)在

7、安全區(qū)域工作控制措施應(yīng)設(shè)計(jì)和運(yùn)用用于安全區(qū)域工作的物理保護(hù)和指南。實(shí)施指南 只在有必要知道的基礎(chǔ)上，員工才應(yīng)知道安全區(qū)域的存在或其中的活動(dòng)。為了安全原因和減少惡意活動(dòng)的機(jī)會(huì)，均應(yīng)避免在安全區(qū)域內(nèi)進(jìn)行不受監(jiān)督的工作；未使用的安全區(qū)域在物理上要上鎖并周期地予以檢查；除非授權(quán)，不允許攜帶攝影、視頻、聲頻或其他記錄設(shè)備，例如移動(dòng)設(shè)備中的照相機(jī)。在安全區(qū)域工作的安排包括對(duì)工作在安全區(qū)域內(nèi)的雇員、承包方人員和第三方人員的控制，以及對(duì)其他發(fā)生在安全區(qū)域的第三方活動(dòng)的控制。10防范外部和環(huán)境威脅，在安全區(qū)域工作，送貨和裝卸區(qū)送貨和裝卸區(qū)控制措施訪問點(diǎn)（例如交接區(qū)）和未授權(quán)人員可進(jìn)入辦公場所的其他點(diǎn)應(yīng)加以控制，

8、如果可能，要與信息處理設(shè)施隔離，以避免未授權(quán)訪問。實(shí)施指南由建筑物外進(jìn)入交接區(qū)的訪問應(yīng)局限于已標(biāo)識(shí)的和已授權(quán)的人員；交接區(qū)應(yīng)設(shè)計(jì)成在無需交貨人員獲得對(duì)本建筑物其他部分的訪問權(quán)的情況下就能卸下物資；當(dāng)內(nèi)部的門打開時(shí)，交接區(qū)的外部門應(yīng)得到安全保護(hù)；在進(jìn)來的物資從交接區(qū)運(yùn)到使用地點(diǎn)之前，要檢查是否存在潛在威脅；進(jìn)來的物資應(yīng)按照資產(chǎn)管理程序在場所的入口處進(jìn)行登記；如果可能，進(jìn)入和外出的貨物應(yīng)在物理上予以隔離。11設(shè)備安置和保護(hù)，支持設(shè)施，電纜安全，設(shè)備維護(hù)，資產(chǎn)轉(zhuǎn)移 設(shè)備安置和保護(hù)控制措施應(yīng)安置或保護(hù)設(shè)備，以減少由環(huán)境威脅和危險(xiǎn)所造成的各種風(fēng)險(xiǎn)以及未授權(quán)訪問的機(jī)會(huì)。實(shí)施指南設(shè)備應(yīng)進(jìn)行適當(dāng)安置，以盡量減

9、少不必要的對(duì)工作區(qū)域的訪問；應(yīng)把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)?shù)南拗朴^測的位置，以減少在其使用期間信息被窺視的風(fēng)險(xiǎn)，還應(yīng)保護(hù)儲(chǔ)存設(shè)施以防止未授權(quán)訪問；要求專門保護(hù)的部件要予以隔離，以降低所要求的總體保護(hù)等級(jí)；應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險(xiǎn)，例如偷竊、火災(zāi)、爆炸、煙霧、水（或供水故障）、塵埃、振動(dòng)、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞；12設(shè)備安置和保護(hù)，支持設(shè)施，電纜安全，設(shè)備維護(hù)，資產(chǎn)轉(zhuǎn)移 應(yīng)建立在信息處理設(shè)施附近進(jìn)食、喝飲料和抽煙的指南；對(duì)于可能對(duì)信息處理設(shè)施運(yùn)行狀態(tài)產(chǎn)生負(fù)面影響的環(huán)境條件（例如溫度和濕度）要予以監(jiān)視；所有建筑物都應(yīng)采用避雷保護(hù)，所有進(jìn)入的電源和通

10、信線路都應(yīng)裝配雷電保護(hù)過濾器；對(duì)于工業(yè)環(huán)境中的設(shè)備，要考慮使用專門的保護(hù)方法，例如鍵盤保護(hù)膜；應(yīng)保護(hù)處理敏感信息的設(shè)備，以減少由于輻射而導(dǎo)致信息泄露的風(fēng)險(xiǎn)。13設(shè)備安置和保護(hù)，支持設(shè)施，電纜安全，設(shè)備維護(hù)，資產(chǎn)轉(zhuǎn)移 支持設(shè)施控制措施應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他中斷。實(shí)施指南應(yīng)有足夠的支持性設(shè)施（例如電、供水、排污、加熱/通風(fēng)和空調(diào)）來支持系統(tǒng)。支持性設(shè)施應(yīng)定期檢查并適當(dāng)?shù)臏y試以確保他們的功能，減少由于他們的故障或失效帶來的風(fēng)險(xiǎn)。應(yīng)按照設(shè)備制造商的說明提供合適的供電。對(duì)支持關(guān)鍵業(yè)務(wù)操作的設(shè)備，推薦使用支持有序關(guān)機(jī)或連續(xù)運(yùn)行的不間斷電源（UPS）。電源應(yīng)急計(jì)劃要包括

11、UPS 故障時(shí)要采取的措施。如果電源故障延長，而處理要繼續(xù)進(jìn)行，則要考慮備份發(fā)電機(jī)。應(yīng)提供足夠的燃料供給，以確保在延長的時(shí)間內(nèi)發(fā)電機(jī)可以進(jìn)行工作。UPS 設(shè)備和發(fā)電機(jī)要定期地檢查，以確保它們擁有足夠能力，并按照制造商的建議予以測試。另外，如果辦公場所很大，則應(yīng)考慮使用多來源電源或一個(gè)單獨(dú)變電站。14設(shè)備安置和保護(hù)，支持設(shè)施，電纜安全，設(shè)備維護(hù)，資產(chǎn)轉(zhuǎn)移 另外，應(yīng)急電源開關(guān)應(yīng)位于設(shè)備房間應(yīng)急出口附近，以便緊急情況時(shí)快速切斷電源。萬一主電源出現(xiàn)故障時(shí)要提供應(yīng)急照明。要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)（當(dāng)使用時(shí)），供水系統(tǒng)的故障可能破壞設(shè)備或阻止有效的滅火。如果需要還應(yīng)有告警系統(tǒng)來指示

12、水壓的降低。連接到公共提供商的通信設(shè)備應(yīng)至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時(shí)語音服務(wù)失效。要有足夠的語音服務(wù)以滿足地方法規(guī)對(duì)于應(yīng)急通信的要求。15設(shè)備安置和保護(hù)，支持設(shè)施，電纜安全，設(shè)備維護(hù)，資產(chǎn)轉(zhuǎn)移 電纜安全控制措施應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽或損壞。實(shí)施指南進(jìn)入信息處理設(shè)施的電源和通信線路宜在地下，若可能，或提供足夠的可替換的保護(hù)；網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞，例如，利用電纜管道或使路由避開公眾區(qū)域；為了防止干擾，電源電纜要與通信電纜分開；使用清晰的可識(shí)別的電纜和設(shè)備記號(hào)，以使處理失誤最小化，例如，錯(cuò)誤網(wǎng)絡(luò)電纜的意外配線；使用文件化配線列表減少失誤

13、的可能性；16設(shè)備安置和保護(hù)，支持設(shè)施，電纜安全，設(shè)備維護(hù)，資產(chǎn)轉(zhuǎn)移 對(duì)于敏感的或關(guān)鍵的系統(tǒng)，更進(jìn)一步的控制考慮應(yīng)包括：在檢查點(diǎn)和終接點(diǎn)處安裝鎧裝電纜管道和上鎖的房間或盒子；使用可替換的路由選擇和/或傳輸介質(zhì)，以提供適當(dāng)?shù)陌踩胧?；使用纖維光纜；使用電磁防輻射裝置保護(hù)電纜；對(duì)于電纜連接的未授權(quán)裝置要主動(dòng)實(shí)施技術(shù)清除、物理檢查；控制對(duì)配線盤和電纜室的訪問；17設(shè)備安置和保護(hù)，支持設(shè)施，電纜安全，設(shè)備維護(hù)，資產(chǎn)轉(zhuǎn)移 設(shè)備維護(hù)控制措施設(shè)備應(yīng)予以正確地維護(hù)，以確保其持續(xù)的可用性和完整性。實(shí)施指南要按照供應(yīng)商推薦的服務(wù)時(shí)間間隔和規(guī)范對(duì)設(shè)備進(jìn)行維護(hù)；只有已授權(quán)的維護(hù)人員才可對(duì)設(shè)備進(jìn)行修理和服務(wù)；要保存所有

14、可疑的或?qū)嶋H的故障以及所有預(yù)防和糾正維護(hù)的記錄；當(dāng)對(duì)設(shè)備安排維護(hù)時(shí)，應(yīng)實(shí)施適當(dāng)?shù)目刂疲紤]維護(hù)是由場所內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行；當(dāng)需要時(shí)，敏感信息需要從設(shè)備中刪除或者維護(hù)人員應(yīng)該是足夠可靠的；應(yīng)遵守由保險(xiǎn)策略所施加的所有要求。18設(shè)備安置和保護(hù)，支持設(shè)施，電纜安全，設(shè)備維護(hù)，資產(chǎn)轉(zhuǎn)移 資產(chǎn)轉(zhuǎn)移控制措施設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所。實(shí)施指南在未經(jīng)事先授權(quán)的情況下，不應(yīng)讓設(shè)備、信息或軟件離開辦公場所；應(yīng)明確識(shí)別有權(quán)允許資產(chǎn)移動(dòng)，離開辦公場所的雇員、承包方人員和第三方人員；應(yīng)設(shè)置設(shè)備移動(dòng)的時(shí)間限制，并在返還時(shí)執(zhí)行符合性檢查；若需要并合適，要對(duì)設(shè)備作出移出記錄，當(dāng)返回時(shí)，要作出送

15、回記錄。 19場外設(shè)備和資產(chǎn)安全，設(shè)備報(bào)廢或重用，無人值守的設(shè)備，清除桌面及屏幕策略場外設(shè)備和資產(chǎn)安全控制措施應(yīng)對(duì)組織場所的設(shè)備采取安全措施，要考慮工作在組織場所以外的不同風(fēng)險(xiǎn)。實(shí)施指南無論責(zé)任人是誰，在組織場所外使用任何信息處理設(shè)備都要通過管理者授權(quán)。離開建筑物的設(shè)備和介質(zhì)在公共場所不應(yīng)無人看管。在旅行時(shí)便攜式計(jì)算機(jī)要作為手提行李攜帶，若可能宜偽裝起來；制造商的設(shè)備保護(hù)說明要始終加以遵守，例如，防止暴露于強(qiáng)電磁場內(nèi)；家庭工作的控制措施應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估確定，當(dāng)適合時(shí)，要施加合適的控制措施，例如，可上鎖的存檔柜、清理桌面策略、對(duì)計(jì)算機(jī)的訪問控制以及與辦公室的安全通信（見 ISO/IEC 18028

16、 網(wǎng)絡(luò)安全）；足夠的安全保障掩蔽物宜到位，以保護(hù)離開辦公場所的設(shè)備。安全風(fēng)險(xiǎn)在不同場所可能有顯著不同，例如，損壞、盜竊和截取，要考慮確定最合適的控制措施。20場外設(shè)備和資產(chǎn)安全，設(shè)備報(bào)廢或重用，無人值守的設(shè)備，清除桌面及屏幕策略設(shè)備報(bào)廢或重用控制措施包含儲(chǔ)存介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行檢查，以確保在銷毀之前，任何敏感信息和注冊軟件已被刪除或安全重寫。實(shí)施指南包含敏感信息的設(shè)備在物理上應(yīng)予以摧毀，或者采用使原始信息不可獲取的技術(shù)破壞、刪除、覆蓋信息，而不能采用標(biāo)準(zhǔn)的刪除或格式化功能。包含敏感信息的已損壞的設(shè)備可能需要實(shí)施風(fēng)險(xiǎn)評(píng)估，以確定這些設(shè)備是否要進(jìn)行銷毀、而不是送去修理或丟棄。信息可能通過對(duì)設(shè)

17、備的草率處置或重用而被泄漏21場外設(shè)備和資產(chǎn)安全，設(shè)備報(bào)廢或重用，無人值守的設(shè)備，清除桌面及屏幕策略無人值守的設(shè)備、清除桌面及屏幕策略對(duì)于無人職守的設(shè)備，要明確管理人員，加強(qiáng)物理安全控制。含有涉密信息或重要信息的文件、記錄、磁盤、光盤或以其它形式存貯的媒體在人員離開時(shí)，應(yīng)鎖入文件柜、保險(xiǎn)柜等；所有計(jì)算機(jī)終端必須設(shè)立登錄口令，在人員離開時(shí)應(yīng)該鎖屏、注銷或關(guān)機(jī)；在結(jié)束工作時(shí)，必須關(guān)閉所有計(jì)算機(jī)終端，并且將個(gè)人桌面上所有記錄有敏感信息的介質(zhì)鎖入文件柜；計(jì)算機(jī)終端應(yīng)設(shè)置屏幕密碼保護(hù)，屏保時(shí)間不大于5 分鐘；傳真機(jī)由總經(jīng)理辦公室負(fù)責(zé)管理，并落實(shí)責(zé)任人。打印或復(fù)印公司秘密、機(jī)密信息時(shí)，打印或復(fù)印設(shè)備現(xiàn)場應(yīng)有可靠人員，打印或復(fù)印完畢即從設(shè)備拿走。22表格樣式項(xiàng)目一項(xiàng)目二項(xiàng)目三項(xiàng)目四類別 01填充文本/數(shù)